Una delle figure principali nate con il GPDR è senza dubbio quella del DPO (Data Protection Officer), il responsabile della protezione dei dati.
I confini assai labili che delimitano tematiche sconosciute e sottovalutate come quelle legate al mondo privacy da parte di aziende e pubblica amministrazione aumentano la complessità del ruolo del DPO.
Il responsabile della protezione dei dati dovrebbe “favorire l’osservanza della normativa e aumentare il margine competitivo delle imprese”.
E’ doveroso quindi capire cosa fa il DPO, quali organizzazioni sono obbligate a nominarne uno, che caratteristiche deve possedere il responsabile della protezione e infine capire se è meglio internalizzare questa figura o avvalersi di DPO esterni.
Cosa fa il DPO
Il DPO deve essere coinvolto in tutte le questioni riguardanti la protezione dei dati personali all’interno dell’organizzazione.
In particolare questa risorsa deve:
- Sorvegliare l’osservanza del GDPR e di tutte le disposizioni inerenti attraverso la raccolta di informazioni per la verifica della conformità dei trattamenti;
- Fornire un parere in merito alla valutazione di impatto sulla protezione dei dati;
- Facilitare l’eventuale accesso ai documenti da parte dell’Autorità di controllo.
Chi ha bisogno del DPO
Per il principio di Accountability anche chi non è obbligato dalla legge farebbe bene ad avvalersi di un DPO per tutelare i soggetti coinvolti dal trattamento.
L’articolo 37 stabilisce i 3 casi in cui il titolare del trattamento e il responsabile del trattamento devono nominare un responsabile della protezione:
- Quando il trattamento è effettuato da un’autorità pubblica;
- Quando avviene monitoraggio sistematico, costante e su larga scala;
- Quando il monitoraggio riguarda categorie particolari di dati personali o dati relativi a condanne penali
Che caratteristiche deve avere il DPO
Prima di capire se è preferibile nominare un DPO interno alla struttura organizzativa oppure avvalersi di un Data Protection Officer esterno, occorre capire che caratteristiche deve avere il responsabile della protezione dei dati.
Gianluca Lombardi, Delegato Federprivacy per la provincia di Como, GDPR Specialist e CEO di GL Consulting, durante il suo intervento in occasione dell’8 Privacy Day Forum, ha elencato tutti i requisiti ideali del perfetto DPO:
- Conoscenza specialistica della normativa GDPR;
- Qualità professionali oggettive e indiscutibili;
- Conoscenza del settore in cui andrà ad operare;
- Integrità ed elevati standard deontologici;
- Conoscenza tecnologica e di sistema di gestione approfondita;
- Predisposizione all’aggiornamento e alla formazione costante;
- Interesse nella promozione della cultura della protezione dei dati;
- Certificazioni.
Meglio il DPO interno o il DPO esterno?
Anche in questo caso non esiste risposta univoca in grado di mettere tutti d’accordo.
Ciò che si avvicina più alla verità assoluta è la risposta “dipende dal contesto”.
Lombardi, DPO esterno, ha evidenziato soprattutto 2 possibili incompatibilità e svantaggi di nominare un DPO interno all’azienda:
- Potrebbe subire intimidazioni;
- Rischia il conflitto di interessi;
Impossibile nascondere i potenziali vantaggi di nominare un Data Protection Officer interno:
- Conosce in maniera più approfondita le dinamiche e i problemi aziendali;
- Sempre presente fisicamente e aggiornato in merito all’azienda.
Nominare un DPO esterno invece regala alcuni benefici:
- Professionista che conosce in maniera approfondita la normativa;
- Ha esperienza sul campo e si forma in maniera autonoma;
- Il rapporto di lavoro può variare nel tempo e quindi potenzialmente è più economico.
- Possiede risorse e mezzi specifici.
